2021年第三期CCAA國家信息安全管理體系質(zhì)量審核員考試題目含解析_第1頁
2021年第三期CCAA國家信息安全管理體系質(zhì)量審核員考試題目含解析_第2頁
2021年第三期CCAA國家信息安全管理體系質(zhì)量審核員考試題目含解析_第3頁
2021年第三期CCAA國家信息安全管理體系質(zhì)量審核員考試題目含解析_第4頁
2021年第三期CCAA國家信息安全管理體系質(zhì)量審核員考試題目含解析_第5頁
已閱讀5頁,還剩13頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

2021年第三期CCAA國家信息安全管理體系質(zhì)量審核員考試題目一、單項選擇題1、()是建立有效的計算機病毒防御體系所需要的技術(shù)措施。A、補丁管理系統(tǒng)、網(wǎng)絡入侵檢測和防火墻B、漏洞掃描、網(wǎng)絡入侵檢測和防火墻C、漏洞掃描、補丁管理系統(tǒng)和防火墻D、網(wǎng)絡入侵檢測、防病毒系統(tǒng)和防火墻2、跨國公司的I.S經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN.,virtualpriavtenetwork)升級,采用通道技術(shù)使其支持語音I.P電話(VOI.P,voice-overI.P)服務,那么,需要首要關注的是()。A、服務的可靠性和質(zhì)量(Qos,qualityofservice)B、身份的驗證方式C、語音傳輸?shù)谋C蹹、數(shù)據(jù)傳輸?shù)谋C?、下列管理評審的方式,哪個不滿足標準的要求?()A、組織外部評審團隊通過會議的方式對管理體系適宜性、有效性和充分性進行評審B、通過網(wǎng)絡會議的方式組織最高管理層進行管理體系適宜性、有效性和充分性進行評審C、通過逐級匯報的方式由最高管理層對管理體系的有效性和充分性進行評審D、通過材料評審的方式由最高管理層進行管理體系適宜性、有效性和充分性的評審4、認證機構(gòu)應確定,ITSMS是否能在缺少()的情況下得到充分審核并予以記錄,同時還應詳細說明理由。A、保密性信息B、遠程支持C、方案策劃D、服務目錄5、關于信息安全連續(xù)性,以下說法正確的是:A、信息安全連續(xù)性即FT設備運行的連續(xù)性B、信息安全連續(xù)性應是組織業(yè)務連續(xù)性的一部分C、信息處理設施的冗余即指兩個或多個服務器互備D、信息安全連續(xù)性指標由IT系統(tǒng)的性能決定6、《計算機信息系統(tǒng)安全保護條例》中所稱計算機信息系統(tǒng),是指A、對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)B、計算機及其相關的設備、設施,不包括軟件C、計算機運算環(huán)境的總和,但不含網(wǎng)絡D、一個組織所有計算機的總和,包括未聯(lián)網(wǎng)的微型計算機7、《信息技術(shù)服務分類與代碼》規(guī)定()屬于軟件運營服務。A、在線殺毒B、物流信息管理服務平臺C、電子商務D、在線娛樂平臺8、組織應()A、分離關鍵的職責及責任范圍B、分離沖突的職責及貴任范圍C、分離重要的職責及責任范圍D、分離關聯(lián)的職責及責任范圍9、下面哪個不是《中華人民共和國密碼法》中密碼的分類?()A、核心密碼B、普通密碼C、國家密碼D、商用密碼10、某公司進行風險評估后發(fā)現(xiàn)公司的無線網(wǎng)絡存在大的安全隱患、為了處置這個風險,公司不再提供無線網(wǎng)絡用于辦公,這種處置方式屬于()A、風險接受B、風險規(guī)避C、風險轉(zhuǎn)移D、風險減緩11、關于認證人員執(zhí)業(yè)要求,以下說法正確的是:A、注冊審核員只能在一個認證機構(gòu)和一個咨詢機構(gòu)執(zhí)業(yè)B、注冊審核員和認證決定人員只能在一個認證機構(gòu)C、注冊審核員只能在一個認證機構(gòu)執(zhí)業(yè),非注冊的認證決定人員不受此限制D、在咨詢機構(gòu)認專職咨詢師的人員,只能在認證機構(gòu)人兼職認證決定人員12、依據(jù)GB/T22080/ISO/IEC27001,信息分類方案的目的是()A、劃分信息載體的不同介質(zhì)以便于儲存和處理,如紙張、光盤、磁盤B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息對于組織業(yè)務的關鍵性和敏感性分類,按此分類確定信息存儲、處理、處置的原則D、劃分信息的數(shù)據(jù)類型,如供銷數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、開發(fā)測試數(shù)據(jù),以便于應用大數(shù)據(jù)技術(shù)對其分析13、()是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護措施的失效,或是和安全關聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài)B、信息安全事件C、信息安全事故D、信息安全故障14、構(gòu)成風險的關鍵因素有()A、人、財、物B、技術(shù)、管理和操作C、資產(chǎn)、威脅和弱點D、資產(chǎn)、可能性和嚴重性15、Saas是指()A、軟件即服務B、服務平臺即月勝C、服務應用即服務D、服務瞇即服務16、系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于,它不僅備份系統(tǒng)中的數(shù)據(jù),還備份系統(tǒng)中安裝的應用程序,數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息,以便迅速()A、恢復全部程序B、恢復網(wǎng)絡設置C、恢復所有數(shù)據(jù)D、恢復整個系統(tǒng)17、口令管理系統(tǒng)應該是(),并確保優(yōu)質(zhì)的口令A、唯一式B、交互式C、專人管理式D、A+B+C18、已知錯誤是一個已識別根本原因或解決方案降低或消除對服務影響的()A、問題B、事件C、錯誤D、事態(tài)19、在我國《信息安全等級保護管理辦法》中將信息系統(tǒng)的安全等級分為()級A、3B、4C、5D、620、計算機信息系統(tǒng)安全專用產(chǎn)品是指:()A、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品B、按安全加固要求設計的專用計算機C、安裝了專用安全協(xié)議的專用計算機D、特定用途(如高保密)專用的計算機軟件和硬件產(chǎn)品21、下列哪個措施不是用來防止對組織信息和信息處理設施的未授權(quán)訪問的?()A、物理入口控制B、開發(fā)、測試和運行環(huán)境的分離C、物理安全邊界D、在安全區(qū)域工作22、對于獲準認可的認證機構(gòu),認可機構(gòu)證明()A、認證機構(gòu)能夠開展認證活動B、其在特定范圍內(nèi)按照標準具有從事認證活動的能力C、認證機構(gòu)的每張認證證書都符合要求D、認證機構(gòu)具有從事相應認證活動的能力23、依據(jù)GB/T22080-2016/1SO/1EC.27001:2013標準,不屬于第三方服務監(jiān)視和評審范疇的是()。A、監(jiān)視和評審服務級別協(xié)議的符合性B、監(jiān)視和評審服務方人員聘用和考核的流程C、監(jiān)視和評審服務交付遵從協(xié)議規(guī)定的安全要求的程度D、監(jiān)視和評審服務方跟蹤處理信息安全事件的能力24、計算機病毒是計算機系統(tǒng)中一類隱藏在()上蓄意破壞的搗亂程序A、內(nèi)存B、軟盤C、存儲介質(zhì)D、網(wǎng)絡25、進入重要機構(gòu)時,在門衛(wèi)處登記屬于以下哪種措施?()A、訪問控制B、身份鑒別C、審計D、標記26、依據(jù)GB/T22080-2016/IS0/IEC27001:2013,以下關于資產(chǎn)清單正確的是()。A、做好資產(chǎn)分類是其基礎B、采用組織固定資產(chǎn)臺賬即可C、無需關注資產(chǎn)產(chǎn)權(quán)歸屬者D、A+B27、桌面系統(tǒng)級聯(lián)狀態(tài)下,關于上級服務器制定的強制策略,以下說法正確的是()A、下級管理員無權(quán)修改,不可刪除B、下級管理員無權(quán)修改,可以刪除C、下級管理員可以修改,可以刪除D、下級管理員可以修改,不可刪除28、局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式在()方面有主要區(qū)別。A、主要結(jié)構(gòu)B、容錯能力C、網(wǎng)絡拓撲D、局域網(wǎng)協(xié)議29、建立ISMS體系的目的,是為了充分保護信息資產(chǎn)并給予()信息A、相關方B、供應商C、顧客D、上級機關30、殘余風險是指:()A、風險評估前,以往活動遺留的風險B、風險評估后,對以往活動遺留的風險的估值C、風險處置后剩余的風險,比可接受風險低D、風險處置后剩余的風險,不一定比可接受風險低31、闡明所取得結(jié)果或提供所完成活動的證據(jù)的文件是()A、報告B、演示C、記錄D、協(xié)議32、完整性是指()A、根據(jù)授權(quán)實體的要求可訪問的特性B、信息不被未授權(quán)的個人實體或過程利用或知悉的特性C、保護資產(chǎn)準確和完整的特性D、保護資產(chǎn)保密和可用的特性33、在信息安全管理中進行(),可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控B、安全教育和培訓C、責任追查和懲處D、訪問控制34、關于容量管理,以下說法不正確的是()A、根據(jù)業(yè)務對系統(tǒng)性能的需求,設置閾值和監(jiān)視調(diào)整機制B、針對業(yè)務關鍵性,設置資源占用的優(yōu)先級C、對于關鍵業(yè)務,通過放寬閾值以避免或減少報警的干擾D、依據(jù)資源使用趨勢數(shù)據(jù)進行容量規(guī)劃35、最高管理層應通過()活動,證實對信息安全管理體系的領導和承諾。A、組織建立信息安全策略和信息安全目標,并與組織戰(zhàn)略方向一致B、確保建立信息安全策略和信息安全目標,并與組織戰(zhàn)略方向一致C、領導建立信息安全策略和信息安全目標,并與組織戰(zhàn)略方向一致D、溝通建立信息安全策略和信息安全目標,并與組織戰(zhàn)略方向一致36、下列哪項對于審核報告的描述是錯誤的?()A、主要內(nèi)容應與末次會議的內(nèi)容基本一致B、在對審核記錄匯總整理和信息安全管理體系評價以后由審核組長起草形成C、正式的審核報告由組長將報告交給認證審核機構(gòu)審核后,由委托方將報告的副本轉(zhuǎn)給受審核方D、以上都不對37、抵御電子郵箱入侵措施中,不正確的是()A、不用生日做密碼B、不要使用少于5位的密碼C、不要使用純數(shù)字D、自己做服務器38、IT部門中的所有服務是否都要包含在認證范圍以內(nèi)?()A、是的,整個范圍的服務都要包含在認證范圍之內(nèi)B、只有當其都被提供給相同的客戶群體時C、不,該范圍可限制為服務的子集D、取決于該服務為內(nèi)部提供還是外部提供39、不屬于WEB服務器的安全措施的是()A、保證注冊帳戶的時效性B、刪除死帳戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼40、組織機構(gòu)在建立和評審ISMS時,應考慮()A、風險評估的結(jié)果B、管理方案C、法律、法規(guī)和其它要求D、A+BE、A+C二、多項選擇題41、網(wǎng)絡常見的拓撲形式有()A、星型B、環(huán)型C、總線型D、樹型42、《信息安全等級保護管理辦法》的分級是依據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對()的危害程度等因素確定。A、公民、法人和其他組織的合法權(quán)益B、公共利益C、國家安全D、社會秩序43、根據(jù)《中華人民共和國保守國家秘密法》,下列屬于國家秘密的是()。A、國家事務重大決策中的秘密事項B、國民經(jīng)濟和社會發(fā)展中的秘密事項C、科學技術(shù)中的秘密事項D、國防建設和武裝力量活動中的秘密事項44、按覆蓋的地理范圍進行分類,計算機網(wǎng)絡可以分為()A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、區(qū)域網(wǎng)45、下列哪些屬于網(wǎng)絡攻擊事件()A、釣魚攻擊B、后門攻擊事件C、社會工程攻擊D、DOS攻擊46、以下()活動是ISMS建立階段應完成的內(nèi)容A、確定ISMS的范圍和邊界B、確定ISMS方針C、確定風險評估方法和實施D、實施體系文件培訓47、移動設備策略宜考慮()A、移動設備注冊B、惡意軟件防范C、訪問控制D、物理保護要求48、《互聯(lián)網(wǎng)信息服務管理辦法》中對()類的互聯(lián)網(wǎng)信息服務實行主管部門審核制度A、新聞、出版B、醫(yī)療、保健C、知識類D、教育類49、信息安全風險分析包括()A、分析風險發(fā)生的原因B、確定風險級別C、評估識別的風險發(fā)生后,可能導致的潛在后果D、評估所識別的風險實際發(fā)生的可能性50、以下屬于信息安全管理體系審核證據(jù)的是()A、信息系統(tǒng)的閾值列表B、信息系統(tǒng)運行監(jiān)控中心顯示的實時資源占用數(shù)據(jù)C、數(shù)據(jù)恢復測試的日志D、信息系統(tǒng)漏洞測試分析報告51、下列哪項屬于《認證機構(gòu)管理辦法》中規(guī)定的設立認證機構(gòu)應具備的條件?()A、具有固定的辦公場所和必備設施B、注冊資本不得少于人民幣600萬元C、具有10名以上相應領域的專職認證人員D、具有符合認證認可要求的管理制度52、ISO/IEC27001標準要求以下哪些過程要形成文件化的信息?()A、信息安全方針B、信息安全風險處置過程C、溝通記錄D、信息安全目標53、風險處置包括()A、風險降低B、風險計劃C、風險控制D、風險轉(zhuǎn)移54、關于目標,下列說法正確的是()A、目標現(xiàn)的結(jié)果B、溝通記錄C、目標可以采用不同方式進行表示,例如:操作準則D、目標可以是不同層次的,例如組織、項目和產(chǎn)品55、依據(jù)《信息技術(shù)服務分類與代碼》,運行維護服務包括對客戶信息系統(tǒng)()等提供的各種技術(shù)支持和管理服務。A、硬件B、軟件C、數(shù)據(jù)D、基礎環(huán)境三、判斷題56、組織的內(nèi)外部相關方要求屬于組織的內(nèi)部和外部事項”()正確錯誤57、《中華人民共和國網(wǎng)絡安全法》中的“網(wǎng)絡運營者”,指網(wǎng)絡服務提供者,不包括其他類型的網(wǎng)絡所有者和管理者。()正確錯誤58、最高管理層應通過“確保持續(xù)改進”活動,證實對信息安全管理體系的領導和承諾正確錯誤59、通過修改某種已知計算機病毒的代碼,使其能夠躲過現(xiàn)有計算機病毒檢測程序時,可以稱這種新出現(xiàn)的計算機病毒是原來計算機病毒的變形。正確錯誤60、審核員由實習審核員轉(zhuǎn)審核員之前,至少必須通過4次完整體系20天的審核。()正確錯誤61、某互聯(lián)網(wǎng)服務公司允許員工使用手機APP完成對公司客戶的服務請求處理,但手機須安裝公司規(guī)定的安全控制程序,無論手機是公司配發(fā)的或員工私有的。這符合IS0/IEC27001:2013標準A6,2,1的要求。()正確錯誤62、信息系統(tǒng)中的“單點故障”指僅有一個故障點,因此屬于較低風險等級的事件。()正確錯誤63、組織應持續(xù)改進信息安全管理體系的適宜性、充分性和有效性()正確錯誤64、敏感標記表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息,可信計算機中把敏感標記作為強制訪問控制決策的依據(jù)()。正確錯誤65、不同組織有關信息安全管理體系文件化信息的詳略程度應基本相同。()正確錯誤

參考答案一、單項選擇題1、D2、A3、A4、A5、B6、A7、A8、B解析:根據(jù)GB/T22080-2016標準A6,1,2原文:應分離沖突的職責及其貴任范圍,以減少未授權(quán)或無意的修改或者不當使用組織資產(chǎn)的機會9、C10、B11、B12、C解析:信息分級的目的確保信息按照其對組織的重要程度受到適當水平的保護。對比四個選項,c項更能突出對組織的重要程度,故選C13、A14、C15、A16、D17、B18、A19、C20、A21、B22、B23、B24、C25、B26、A27、A28、B解析:局域網(wǎng)是指家庭或是辦公室,或者其他環(huán)境中小型網(wǎng)絡。而大型計算機環(huán)境是指類似服務器的大型網(wǎng)絡。兩者本地備份差別主要體現(xiàn)在容

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論